Contents [show]
1. Informationen zur Sicherheitsanfälligkeit in Zombieload / MDS
2. Patch-Release-Zeitplan

Informationen zur Sicherheitsanfälligkeit in Zombieload / MDS

Sicherheitslücken werden zu Stars mit ausgeflippten Namen und eigenen Websites.

Die neuesten, die die Szene treffen, sind Zombieload, RIDL und Fallout, auch bekannt als Microarchitectural Data Sampling (MDS kurz), entdeckt von Intel und recherchiert von akademische Abteilungen bei sicherheitsrelevanten Institutionen auf der ganzen Welt. Diese Sicherheitsanfälligkeiten sind mit Spectre und Meltdown vergleichbar und stellen Konstruktionsfehler dar, die Daten offenlegen. Zombieload ist besonders besorgniserregend, da es alle seit 2011 hergestellten Intel Core- und Xeon-CPUs betrifft.

Es gibt vier verschiedene Schwachstellenregistrierungen, die zusammen einen Zombieload-Exploit ermöglichen: CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 und CVE-2019-11091. Schauen Sie sich die Codes an und Sie werden sehen, dass im letzten Jahr drei registriert wurden. Das Problem wurde geheim gehalten, eine Praxis, die als bekannt ist Koordinierte Offenlegung, um zu verhindern, dass "schlechte Schauspieler" Schwachstellen ausnutzen, bevor der Rest von uns sich gegen sie verteidigen kann. Microsoft, Amazon AWS und Google haben alle das Problem in ihren Rechenzentren gemildert, da sie sich im „inneren Kreis“ der Unternehmen befinden, die von der Vorankündigung solcher Probleme profitieren. Alle anderen müssen auf ein Update ihres Betriebssystemherstellers warten.

KernelCare hat am Freitag, dem 17-Mai, mit dem Testen von Live-Patches für MDS begonnen für alle Hauptdistributionen ausgerollt, weitere folgen in Kürze. Für die neuesten Nachrichten folgen Sie uns auf @KernelCare.

Sehen Sie sich das Video mit den Informationen zu MDS von Igor Seletskiy unten an oder scrollen Sie nach unten, um Anweisungen zum Beheben der Sicherheitsanfälligkeit in MDS / Zombieload ohne Neustart zu erhalten.

Neuer Handlungsaufruf

So verringern Sie die Sicherheitsanfälligkeit in MDS / Zombieload

Wenn Sie mit Hardware arbeiten:

Um diese Sicherheitsanfälligkeit zu verringern, müssen Sie die erforderlichen 3-Schritte ausführen kein Neustart Wenn Sie die folgenden Anweisungen befolgen:

Schritt 1: Aktualisieren Sie den Microcode ohne Neustart

Microcode ist der Code, der in der CPU selbst ausgeführt wird und von Intel verarbeitet wird. Das Microcode-Update wird normalerweise beim Neustart durchgeführt: Sie erhalten den neuen Kernel, dieser hat einen neuen Microcode und installiert beim Neustart des Kernels einen neuen Microcode in der CPU. Sie können den Mikrocode ohne Neustart aktualisieren unter Verwendung unserer Anweisungen.

Schritt 2: Deaktivieren Sie Hyperthreading ohne Neustart

Wenn Sie das gleichzeitige Multithreading (SMT) der CPU nicht deaktivieren, besteht weiterhin das Problem, dass der Angreifer die Daten derselben CPU lesen kann. Mit KernelCare können Sie Hyperthreading ohne Neustart deaktivieren unter Verwendung unserer Anweisungen.

Schritt 3: KernelCare-Patches anwenden

Auch wenn Sie die Schritte 1 und 2 ausgeführt haben, müssen Sie den Linux-Kernel aktualisieren, um sicherzustellen, dass der lokale Benutzer die auf der CPU ausgeführten Daten nicht lesen kann. Mit KernelCare können Sie dies tun, ohne einen Neustart durchführen zu müssen. Melden Sie sich für die kostenlose 30-Testversion an.

Wenn Sie auf einer virtuellen Maschine ausgeführt werden:

Sie müssen nur den Linux-Kernel in der VM patchen. Stellen Sie sicher, dass auch Ihr Hostknoten aktualisiert wird, was normalerweise von Ihrem Dienstanbieter durchgeführt wird.

Wenn Sie mit KernelCare arbeiten, werden Ihre Patches automatisch von KernelCare bereitgestellt und Sie müssen keine weiteren Schritte ausführen. Wenn nicht, ist dies der richtige Zeitpunkt, um Melden Sie sich für die kostenlose 30-Testversion an.

Release-Zeitplan für das MDS / Zombieload-Schwachstellen-Patch

Aktualisiert Montag, Mai 27

Der Zeitplan für die Veröffentlichung des KernelCare-Patches ist unten aufgeführt. Release-Pläne können sich ändern. Informieren Sie sich regelmäßig hier oder wenden Sie sich an unseren Helpdesk.

Zur Produktion freigegeben:

  • 6 CentOS
  • CentOSPlus für CentOS 6
  • 7 CentOS
  • CentOSPlus für CentOS 7
  • CloudLinux OS 6
  • Cloud Linux 6 Hybrid
  • CloudLinux OS 7
  • Debian 8
  • Debian 9
  • Ubuntu 14.04 LTS (Trusty Tahr)
  • Ubuntu 16.04 LTS (Xenial Xerus)
  • Ubuntu 18.04 LTS (Bionic Beaver)
  • Oracle Enterprise Linux
  • Oracle Enterprise Linux 6
  • Oracle Enterprise Linux 7
  • Oracle UEK 3
  • Oracle UEK 4
  • Oracle UEK 5
  • OpenVZ
  • Proxmox VE
  • Red Hat Enterprise Linux 6
  • Red Hat Enterprise Linux 7
  • Amazon Linux 1
  • Amazon Linux 2

Patches aus dem Produktionsfeed werden automatisch angewendet.

43 Kommentare

  1. Warum besteht Igor Seletskiy darauf, die Stimme zu sein, niemand kann ein verdammtes Wort verstehen, das er sagt. Wir verstehen, dass er hinter dem Anfang steht, aber FFS bekommt jemanden, der die Stimme in diesen Videos sein kann!

    1. Hallo meine, das ist Aleksandra Mitroshkina, Product Marketing Manager von KernelCare.
      Es tut mir leid, dass Sie Schwierigkeiten hatten, den Redner zu verstehen. Wir werden an dem Voice-Over arbeiten, um Ihnen in Zukunft verständlichere Inhalte zur Verfügung zu stellen. Vielen Dank für Ihr Feedback!

    2. Interessant, da ich ihn problemlos verstehe und ein New Yorker bin - ich habe nur wenige Freunde mit ähnlichen Akzenten und keine besonderen Sprachkenntnisse. Ich finde Igor unglaublich kenntnisreich und ein sehr interessanter Redner. Ich wäre enttäuscht, seine Stimme zu verlieren.

    1. Hallo Andre, ich bin mir nicht sicher, ob du dich auf Patches oder Anleitungen beziehst, also werde ich beide beantworten. Wir sind jetzt in der Testphase mit Patches. Für einige Distributionen sollten Patches Anfang nächster Woche verfügbar sein.
      Die in einem Video und einem Blogbeitrag erwähnten Anleitungen werden veröffentlicht, sobald die ersten Patches in Produktion sind.

    1. Hallo Max, wir testen gerade die Patches.
      Wir planen, ab Anfang nächster Woche Patches zu liefern.
      Bleiben Sie dran für die Updates.

    1. Hallo Arthur, danke für deine Frage.
      Ja, wir haben dies in der Pipeline. Folgen Sie unseren Social-Media-Kanälen, um auf dem Laufenden zu bleiben.

    2. Hallo Arthur, ich fürchte, dass ich Ihnen aufgrund der internen Fehlkommunikation die falschen Informationen zu unseren zukünftigen Plänen für den OpenVZ 7-Support von KernelCare zur Verfügung gestellt habe. Wir planen nicht, diese Distribution zu unterstützen.

  2. Wenn ich Cloudlinux OS mit Kernel Care auf meinem Server habe, wird dies mit Kernel Care aktualisiert? Oder muss ich etwas manuell machen?

    1. Hallo Donovan, Sie müssen die Mikrocode-Aktualisierung und die SMT-Deaktivierung durchführen. Bevor Sie dies jedoch tun, diagnostizieren Sie Ihre Sicherheitsanfälligkeit anhand der Anleitung in diesem Handbuch Artikel vom CloudLinux OS-Team.

      Wenn Sie ein Mictocode-Update und eine SMT-Deaktivierung durchführen (Sie wissen, ob Sie es über den obigen Link deaktivieren müssen), werden Linux-Kernel-Patches von KernelCare automatisch ohne Neustart bereitgestellt.

      1. Grundsätzlich funktioniert dies nicht, wenn Sie seit einiger Zeit nicht neu gestartet haben, da diese nicht vorhanden sind:
        / sys / devices / system / cpu / Schwachstellen

  3. Warum funktioniert ein Kernel-Update nur für VMs? Ist ein aktualisierter Hypervisor und Neustart nicht nötig. Ich habe auch aktualisierte qemu-Pakete für die md-clear-Flagge gesehen.

    1. Hallo Stefan, Es funktioniert auch für harte Knoten, aber Sie müssen den Mikrocode aktualisieren und SMT deaktivieren - dann werden die Patches automatisch angewendet - und ohne Neustarts, wenn Sie KernelCare verwenden.

        1. Hallo Stefan,
          Nun, md-clear in qemu ist ein bisschen in cpuid für die Gästeinformationen.
          Der gepatchte Kernel aktiviert in jedem Fall den Schutz.

  4. Können Sie möglicherweise CloudLinuxs Upstream (CentOS, denke ich?) Fragen, wann sie microcode_ctl mit den neuesten Mikrocodes aktualisieren, die zum Beispiel E5 v4-CPUs patchen werden? Die Patches sind seit ungefähr einer Woche nicht mehr verfügbar, es wurde jedoch kein Update für das Paket microcode_ctl durchgeführt

    Alternativ kann CloudLinux ein aktualisiertes Paket mit 20190514 und nicht mit 20190507 pushen - auf diese Weise können wir, auf denen v4- und v3-CPUs ausgeführt werden, auch Patches installieren.

      1. Hallo Alexandra,

        Das von CloudLinux und CentOS bereitgestellte Paket microcode_ctl enthält die Mikrocodes 20190507 und nicht 20190514 (das neueste).

        20190514 führt seit 20190507 einige neue Mikrocode-Versionen ein:

        VLV C0 6-37-8 / 02 00000838 Atom Z-Serie
        VLV C0 6-37-8 / 0C 00000838 Celeron N2xxx, Pentium N35xx
        VLV D0 6-37-9 / 0F 0000090c Atom E38xx
        CHV C0 6-4c-3 / 01 00000368 Atom X-Serie
        CHV D0 6-4c-4 / 01 00000411 Atom X-Serie
        BDX-ML B0 / M0 / R0 6-4f-1 / ef 0b00002e-> 00000036 Xeon E5 / E7 v4; Core i7-69xx / 68xx
        DNV B0 6-5f-1 / 01 00000024-> 0000002e Atom C-Serie

        1. Hallo Lucas, Sie haben Recht, im Moment enthält das von CloudLinux und CentOS bereitgestellte Paket microcode_ctl nur den 20190507-Mikrocode, nicht 20190514. Der Grund dafür ist, dass wir normalerweise die Upstream-Updates von RHEL / CentOS verfolgen. Sobald dieser Mikrocode im Upstream erscheint, stellen wir ihn für CloudLinuxOS bereit.

      2. Dieses Handbuch zur Aktualisierung des Mikrocodes gilt nur für RHEL7. Es ist nicht korrekt für CL6 ...

        stat: kann nicht stat `/ usr / libexec / microcode_ctl / update_ucode ': Keine solche Datei oder Verzeichnis

        stat: kann nicht stat `/ sys / devices / system / cpu / microcode / reload ': Keine solche Datei oder Verzeichnis

        1. Hallo Deyan, danke, dass du mich darauf aufmerksam gemacht hast! Wir arbeiten gerade an der Korrektur der Dokumentation. Bitte entschuldigen Sie die Unannehmlichkeiten. Ich werde Sie in Kommentaren erwähnen, wenn wir das Problem beheben.

      3. Auf Intel (R) Xeon (R) -CPU E5-2640 v4 @ 2.40GHz-Servern, auf denen CL7 und SMT ausgeführt werden, deaktiviert mit # echo off> / sys / devices / system / cpu / smt / control
        Microcode und Kernel aktualisiert mit #yum upgrade microcode_ctl && yum install kernel-3.10.0-962.3.2.lve1.5.25.8.el7
        Server neu gestartet.
        # cat / sys / devices / system / cpu / vulnerabilities / mds gibt Folgendes zurück:
        Anfällig: Löschen der CPU-Puffer versucht, kein Mikrocode; SMT deaktiviert

        1. Inkorrekt, bitte ignorieren Sie dies: Hallo Paul, Sie müssen den tatsächlichen Mikrocode wie beschrieben aktualisieren hierEin Upgrade des microcode_ctl-Pakets ist nicht ausreichend

          1. Hallo Alexandra, das stimmt nicht. Dieses Handbuch dient nur zum Aktualisieren des Mikrocodes ohne Neustart. Ein Neustart sollte immer neuen Mikrocode anwenden, aber es sieht so aus, als würde das nach dem letzten Upgrade Ihres microcode_ctl-Pakets nicht passieren. "/ Sys / devices / system / cpu / vulnerabilities / mds" gibt immer "no microcode" zurück, auch wenn der Mikrocode manuell angewendet wird .

          2. Hallo Deyan, kannst du bitte ein Ticket für unser Support-Team erstellen? hier. Meine Kollegen werden in der Lage sein, sich eingehender mit technischen Details Ihres Falls zu befassen, und wir werden ein Hin und Her in Kommentaren vermeiden. Vielen Dank!

          3. Ich denke, mein Beitrag wurde nicht gut verstanden. Meinen Sie damit, dass Sie jetzt das microcode_ctl-Paket 20190514 (welches das neueste ist) pushen und E5 v4-CPUs unterstützen?
            Lucas Rolff fragte, wann Sie dasselbe unterstützen würden, und Sie fragten, welchen Fehler er beim Versuch erhielt, 20190507 anzuwenden. In Ihrer Antwort auf ihn haben Sie bestätigt, dass das derzeit von CloudLinux und CentOS bereitgestellte Paket microcode_ctl nur den 20190507-Mikrocode enthält, nicht 20190514, das E5 v4-CPUs unterstützt. Diejenigen von uns, die E5 v4-CPUs verwenden, haben noch keine Patches installiert, da der von Ihnen bereitgestellte 20190507-Mikrocode für E5 v4-CPUs nicht funktioniert.

            Da hattest du Lucas nach dem Fehler gefragt und er hat nicht versorgt. Ich ging weiter und tat es. Aber ich denke, Ihre Antwort hat mich in eine andere Richtung gelenkt.

          4. Paul, Lucas, Deyan, es tut mir leid, dass ich Sie falsch informiert habe. Wir müssen warten, bis der 20190514-Mikrocode vom Upstream verfügbar ist. Bald danach werden wir ihn in CL OS veröffentlichen

    1. Hallo Richard, wir arbeiten daran, diese bald in Produktion zu bringen.
      Aktualisiert den Beitrag und kündigt ihn auf unserer Facebook-Seite an, sobald er fertig ist.
      Bitte entschuldigen Sie die Unannehmlichkeiten, die durch die Verzögerung entstanden sind.

    1. Hallo Andre, das KernelCare-Team arbeitet an dem Patch für CL7. Wir entschuldigen uns für etwaige Unannehmlichkeiten und hoffen auf Ihr Verständnis.

      1. Irgendeine Erklärung für diese lange Verzögerung? Ist der Patch auf CL7 komplizierter oder problematischer? Ich hätte erwartet, dass der Patch für Ihr eigenes Betriebssystem Priorität hat.

    1. Hallo Sumesh, danke für deine Frage. Wir arbeiten aktiv an diesen Patches. Die ETA wird morgen bekannt sein. Sie erhalten die Benachrichtigung in unseren Social Channels.

  5. Gibt es Neuigkeiten zu Microcode? Meine Maschinen sind immer noch gefährdet:

    [root @ hotspare ~] # cat / sys / devices / system / cpu / vulnerabilities / mds
    Anfällig: Löschen der CPU-Puffer versucht, kein Mikrocode; SMT deaktiviert

    Prozessor: 15
    vendor_id: GenuineIntel
    CPU-Familie: 6
    Modell: 45
    Modellbezeichnung: Intel (R) Xeon (R) CPU E5-2690 0 @ 2.90GHz
    Stepping: 7
    Mikrocode: 0x714
    CPU MHz: 1199.896
    Cache-Größe: 20480 KB

      1. Für andere, die dieses Problem haben: Der Mikrocode ist nicht für alle Prozessoren freigegeben, daher haben Sie möglicherweise auch Pech. Überprüfen Sie / sys / devices / system / cpu / vulnerabilities / mds, um sicherzustellen, dass Sie geschützt sind.

XHTML: Sie können diese Tags verwenden: <a href="" title=""> <abbr title = ""> <acronym title = ""> <b> <blockquote cite = ""> <cite> <code> <del datetime = ""> <em i> <> <q cite = ""> <s> <strike> <strong>

Haben Sie Fragen?

Wenn Sie eine KernelCare-Demo planen, Fragen haben oder Test- und Verkaufsanfragen haben, rufen Sie uns bitte an + 1 (800) 231-7307, senden Sie eine E-Mail an sales@cloudlinux.com oder Füllen Sie dieses Formular aus.